熱門分類
載入中…
目錄0%

🧱 FortiGate CLI 管理與診斷全攻略:帳號、介面、Policy、路由與封包分析完整指令教學

    FortiGate 是企業網路中最常見的防火牆之一, 提供強大的安全策略、流量控管與診斷功能。 本篇整理 CLI(Command Line Interface) 的完整指令集, 從帳號與介面管理到封包分析,協助工程師快速掌握系統運作與除錯技巧。


    👤 一、帳號與系統管理

    用於檢視系統狀態、版本、帳號與權限設定:

    get system status
    get system performance status
    config system admin
    show
    end
      

    建立新管理帳號:

    config system admin
    edit admin2
    set password MyStrongPassword
    set accprofile super_admin
    set vdom root
    next
    end
      
    ✅ 建議: - 使用 set accprofile 指定權限層級(如 read_onlysuper_admin)。 - 開啟 two-factor 可提升安全性。

    🌐 二、網路介面與 VLAN 設定

    查看網路介面與狀態:

    show system interface
    get system interface physical
    diagnose hardware deviceinfo nic port1
    get system arp
      

    設定靜態 IP 或 VLAN:

    config system interface
    edit port1
    set ip 192.168.1.1/24
    set allowaccess ping https ssh http
    set alias LAN
    next
    edit vlan10
    set vdom root
    set interface port1
    set vlanid 10
    set ip 10.10.10.1/24
    next
    end
      

    ✅ 檢查: 使用 execute ping 8.8.8.8 測試外部連線是否可達。


    🧱 三、防火牆 Policy 管理

    列出現有的 Policy 與詳細內容:

    show firewall policy
    show firewall policy 10
      

    建立新防火牆 Policy:

    config firewall policy
    edit 10
    set name Allow-Web
    set srcintf "port1"
    set dstintf "port2"
    set srcaddr "all"
    set dstaddr "all"
    set service "HTTP" "HTTPS"
    set action accept
    set schedule "always"
    set nat enable
    next
    end
      

    ✅ 建議:

    • Policy 順序影響流量匹配,確保允許規則在阻擋規則之前。
    • 可用 diagnose sys session list | grep x.x.x.x 查看是否被匹配。

    🛰️ 四、路由檢查與流量追蹤

    查看靜態與動態路由表:

    get router info routing-table all
    show router static
    get router info routing-table details 10.1.1.0
      

    追蹤封包路徑:

    execute traceroute 8.8.8.8
    execute ping 192.168.1.10
      

    ✅ 小技巧: 若找不到路由,可檢查 Default Route 或 Policy 是否放行。


    📡 五、封包分析與 Debug Flow

    最常用的診斷與封包追蹤指令:

    diagnose sniffer packet any '(src host 10.1.1.10 or dst host 192.168.10.20)' 4 0
    diag debug enable
    diag debug flow show console enable
    diag debug flow filter addr 192.168.1.100
    diag debug flow trace start 100
      

    停止 debug:

    diag debug disable

    ✅ 建議:

    • sniffer packet 適合快速觀察實體介面流量。
    • debug flow 可精準追蹤 Policy 與 NAT 流向。
    • 可於 GUI → Packet Capture 匯出 .pcap 檔分析。

    🧰 六、系統診斷與效能監控

    即時監控系統效能與連線狀況:

    get system performance status
    diag sys top
    diag sys session stat
      

    清除過多 session:

    diag sys session clear

    ✅ 提示: 若 CPU 或記憶體使用率異常,可用 diag sys top 觀察問題進程。


    📘 結語

    熟悉 FortiGate CLI 指令,能讓網管與資安工程師更快定位問題、驗證設定並進行效能調整。 無論是帳號管理、Policy 建置或封包分析,CLI 皆提供比 GUI 更細緻的診斷能力。 建議日常維運中,定期導出設定備份與監控指令輸出,確保網路穩定與安全。

    — WWFandy・網路與資安筆記

    LIST 7_DAYS 5 LIST ALL_TIME 5
    🔗 分享這篇 LINE Facebook X

    沒有留言:

    字級